Forensic/Registry

[Registry Forensic] 레지스트리 데이터 수집과 하이브 파일 분석

me0w2en 2025. 2. 17. 04:40

1. 레지스트리 데이터 수집 개요

1.1 필요성

  • 레지스트리는 윈도우 운영체제에서 시스템 및 사용자 활동의 핵심 정보를 저장하는 공간
  • 포렌식 분석에서는 레지스트리를 수집하여 사용자의 활동 기록, 악성코드 실행 여부, 네트워크 연결 정보 등을 분석 가능
  • 레지스트리 데이터는 운영체제 동작 중 보호되어 있어 일반적인 파일 복사 방법으로 직접 접근 및 복사가 불가능

1.2 고려 사항

  • 데이터 무결성 유지: 원본 파일을 수정하지 않고 수집해야 함
  • 로그 파일 포함: .LOG1, .LOG2 파일을 함께 수집하여 변경 내역 분석
  • 하이브 파일 보호: 운영체제가 실행 중인 상태에서는 하이브 파일이 잠겨 있으므로 우회 방법 필요

 

2. 레지스트리 데이터 수집 방법

  • FTK Imager를 활용하여 활성 상태의 운영체제에서 특정 파일을 추출 가능
  • 수집 절차
    1. FTK Imager 실행 후 File > Add Evidence Item 선택
    2. Logical Drive 옵션 선택 후 운영체제가 설치된 드라이브(C:) 로드
    3. 레지스트리 하이브 파일을 Export File 기능을 이용하여 저장
      • C:\Users\[UserName]\NTUSER.DAT
      • C:\Users\[UserName]\AppData\Local\Microsoft\Windows\UsrClass.dat
      • C:\Windows\System32\config\DEFAULT
      • C:\Windows\System32\config\SAM
      • C:\Windows\System32\config\SECURITY
      • C:\Windows\System32\config\SOFTWARE
      • C:\Windows\System32\config\SYSTEM
    4. 존재하는 .LOG1, .LOG2 파일을 저장
      • .LOG1, .LOG2 파일은 레지스트리 파일을 변경하기 이전의 트랜잭션 데이터를 잠시 보관하는 파일
    5. RLA 도구를 사용하여 LOG1, LOG2에 남아 있는 데이터를 레지스트리에 통합 (CLI)
      • RLA command : rla.exe -o output\_folder
  • RLA 도구를 사용하는 이유
    • RLA는 CLI 환경에서 레지스트리 데이터를 수집하는 포렌식 도구
    • 활성 상태의 레지스트리를 수집하게 되면, 사용 중이던 레지스트리가 정리되지 않은 상태로 시스템에 복사 (dirty 상태) → 이를 정리하기 위해 RLA을 사용

 

3. 레지스트리 하이브 파일 분석

3.1 하이브 파일 개요

  • 하이브(Hive)는 레지스트리 데이터가 저장되는 파일 단위
  • 레지스트리는 메모리에 로드되며, 운영체제가 종료되면 변경 사항이 하이브 파일에 기록됨

3.2 하이브 파일 구조

하이브 파일은 크게 두 가지 영역으로 구성됨

  1. Base Block: 파일 메타데이터 및 버전 정보 포함
  2. Hive Bin (hbin): 레지스트리 키, 값, 데이터 저장
파일명 설명
SYSTEM 운영체제 전역 설정 및 부팅 정보
SOFTWARE 설치된 소프트웨어 및 설정 값 저장
SAM 사용자 계정 정보 저장
SECURITY 보안 정책 및 접근 제어 정보 저장
DEFAULT 기본 사용자 프로파일 저장
NTUSER.DAT 개별 사용자 설정 및 활동 정보 저장

3.3 하이브 파일 복구 및 분석 방법

  • 수집된 하이브 파일을 RegRipper를 이용해 분석 가능
  • RegRipper command: rip.pl -r SYSTEM -p all
  • RegRipper는 하이브 파일에서 특정 포렌식 아티팩트를 자동 추출하여 분석하는 데 유용

 

4. 결론

  • 레지스트리 데이터는 디지털 포렌식에서 핵심적인 분석 요소이며, 다양한 도구를 활용해 수집 가능
  • FTK Imager와 RLA를 활용하면 활성 상태에서도 무결성을 유지하며 레지스트리를 확보 가능
  • 하이브 파일 분석을 통해 운영체제 정보, 사용자 활동, 악성코드 흔적 등을 확인할 수 있음
  • 다음 포스트에서는 시스템 및 사용자 활동 분석을 위한 레지스트리 키 활용 방법을 다룰 예정

 

 

📎 참고 자료